Na przestrzeni ostatnich lat toczy się wiele dyskusji i rozważań odnośnie analizy zachowań użytkowników. Przez to niepodważalna przydatność UBA czasem gubi się w morzu dziwnych mitów, opinii i komentarzy. Ogólnie UBA ma wiele zalet, które można wykorzystać przy współpracy z innymi systemami bezpieczeństwa, skuteczniej zapobiegając potencjalnym atakom.
User Behaviour Analytics (UBA) to jak mówi nazwa analiza zachowań użytkowników i korzystanie z tej analizy do ochrony środowiska IT. Śledząc działania użytkowników i wychwytując pewne wzorce, możliwe jest wykrycie potencjalnie niewidocznych ataków i zapobieganie szkodom, zanim zdarzenie nastąpi. Sposoby wdrożenia UBA, a także pełne jego możliwości wymagają nieco więcej wyjaśnień.
Czym dziś jest UBA?
Analiza zachowań użytkowników to tylko jedno z wielu narzędzi każdego działu bezpieczeństwa. Jednak geneza UBA wcale nie pochodzi od cybersecurity. Na początku 2000 roku UBA zaczęło funkcjonować jako narzędzie dla zespołów marketingowych, w celu analizy wzorców zakupowych klientów. Informacje te wykorzystywano, aby dowiedzieć się, jak zachęcić więcej osób do zakupu mniej interesujących produktów.
Dziś UBA jest głównie stosowane do śledzenia zachowań użytkowników w kontekście bezpieczeństwa i jest nieocenionym narzędziem do wykrywania anomalii oraz badania ich pod kątem potencjalnego zagrożenia. Nikogo nie trzeba przekonywać, że analiza użytkowników jest aktualnie jednym z filarów bezpieczeństwa informatycznego. Wiele nowoczesnych rozwiązań UBA korzysta zarówno z uczenia maszynowego, jak i metod „Big Data”, aby wyniki były bardziej dokładne i użyteczne. Tak naprawdę, UBA jest ważną i nieodłączną częścią „Big Data” i jednym z powodów, dla których duże zbiory danych stały się tak popularne.
Rodzaje danych analizowanych za pomocą UBA obejmują używane aplikacje, dostępy do plików, wysyłane i czytane maile, ruch w sieci, logowania do domeny i wiele więcej. Wszystkie te czynności mogą być przypisane do danego użytkownika, więc nie ma problemu z dojściem kto wykonywał akcję w danym czasie.
UBA w Cybersecurity
Głównym zastosowaniem analizy behawioralnej jest przewidywanie potencjalnych ataków, a także zapobieganie dalszym ich skutkom, gdy atak już się rozpoczął. Wielu specjalistów ds. Bezpieczeństwa przyznaje, że po wdrożeniu UBA ich tradycyjne systemy bezpieczeństwa zostały odciążone, a liczba incydentów false positive zredukowana.
Korzystanie z UBA polega na zbieraniu ogromnej ilości danych dotyczących zachowania użytkowników w sieci. Po zebraniu tych informacji należy je przeanalizować, aby określić, jakie zachowanie jest normalne i dopuszczalne w środowisku, a jakie traktować jako anomalie. W ten sposób można szybko zidentyfikować nieprawidłowe zachowania i zbadać je pod kątem potencjalnych zagrożeń bezpieczeństwa.
UBA jest w stanie zapobiec atakom powodowanym przez zagrożenia z zewnątrz jak i wewnątrz. Niezależnie od tego, czy jest to hacker próbujący uzyskać dostęp do sieci organizacji, czy też pracownik, który okazał się „bad actor’em”. Algorytmy UBA wykryją ich złośliwe działania i ostrzegą osoby odpowiedzialne za monitorowanie bezpieczeństwa w firmie.
Kilka ważnych przypadków użycia UBA to:
- Skompromitowane konta użytkowników – jednym z najczęstszych scenariuszy działania UBA jest wykrycie sytuacji, gdy konto użytkownika zostało złamane i przejęte. W takim przypadku usługa UBA wykryje, że konto wykonuje nieprawidłowe działania, takie jak uzyskiwanie dostępu do poufnych informacji czy logowanie się do niestandardowych hostów, a następnie poinformuje analityka bezpieczeństwa o incydencie.
- Kradzież danych – analiza zachowania użytkowników równie dobrze sprawdza się w zapobieganiu lub przynajmniej minimalizacji kradzieży danych. Jest w stanie wykryć, kiedy użytkownik pobiera dane, do których normalnie nie powinien mieć dostępu. Generowany jest wtedy alert lub konto wykonujące takie działania jest od razu wyłączane przez system UBA zintegrowany z domeną.
- Skompromitowane hosty – możliwe jest nie tylko wykrywanie zhackowanych kont użytkowników, ale także zaatakowanych hostów. UBA może wykryć, kiedy host jest zainfekowany złośliwym oprogramowaniem, w związku z czym uruchamiane są na nim dziwne procesy i komendy.
- Insider threats – to ten z przypadków, kiedy UBA zyskuję przewagę nad resztą systemów bezpieczeństwa. Wielu pracowników ma dostęp do wrażliwych danych w ramach ich normalnej pracy. Oznacza to, że jeśli zatrudniona przez firmę osoba zdecyduje się na oszustwo, trudno będzie ją powstrzymać przed kradzieżą cennych informacji. Kiedy inne systemy na to zezwalają, UBA jest w stanie odróżnić działanie normalne od anomalii, gdy dane pobierane dłużej niż zwykle, bądź o dziwnej porze dnia lub poprzedzone innym zdarzeniem.
UBA vs SIEM
Wiele osób ma problem we wskazaniu bezpośrednich różnic w działaniu i wynikach SIEM (Security and Information Event Management) a UBA (User Behaviour Analytics). Niektórzy uważają, że UBA jest częścią SIEM, inni że jest całkiem odrębnym systemem i nie powinno się ich łączyć. W praktyce mogą, a nawet powinny one pracować razem, w celu stworzenia bardziej bezpiecznego, w stu procentach pokrytego środowiska.
To czym jest SIEM i jaką dokładnie ma role opiszemy z pewnością w odrębnym artykule. Główna zasada jest taka, że wysyłamy do niego wszystkie zdarzenia z istniejących już systemów cybersecurity i włączonych audytów, określamy jakie zdarzenie traktujemy jako incydent bezpieczeństwa i monitorujemy je w czasie rzeczywistym. UBA z kolei zbiera wszystkie zachowania dotyczące aktywności użytkowników w sieci, samo określa jakie zachowania są dopuszczalne, a co jest incydentem i alarmuje o tym. Widać tutaj różnicę, że UBA skupia się tylko na określonej grupie działań (aktywności kont użytkowników) i posiada wartość dodaną jaką jest wbudowana analiza w postaci np. machine learning.
Stosunkowo powszechne jest stosowanie obu systemów w tandemie. Typową metodą integracji jest wysyłanie alertów UBA do systemu SIEM w celu agregacji wraz ze wszystkimi innymi zdarzeniami i alertami, które gromadzi. W ten sposób systemy te wzajemnie się uzupełniają i działają jako „catch all”. Wynika to z faktu, że SIEM działa przede wszystkim poprzez konfigurację reguł i przypadków użycia, które obejmują oczekiwane zachowanie. UBA może monitorować wszystko co robi użytkownik, włącznie z działaniami nieobjętymi przez SIEM.
Podsumowanie
Po wdrożeniu UBA w organizacji można rozpocząć monitorowanie użytkowników. Jednak trzeba pamiętać, że monitorowanie to nie to samo, co zapobieganie. To, że jesteśmy w stanie monitorować użytkownika i stwierdzić, że działa on złośliwie, niekoniecznie oznacza, że możemy coś z tym zrobić. UBA daje tylko informacje i wysyła alert, od dalszych działań zależy co zrobić z tymi informacjami.
Większość rozwiązań UBA może pobierać dane z innych źródeł. Im więcej danych narzędzie ma do analizy, tym będzie działać lepiej. Dobrą praktyką wzbogacenia UBA jest posiadanie oprogramowania monitorującego sesje pracowników na stacjach roboczych. W ten sposób UBA może wykorzystać te dane do jeszcze dokładniejszej analizy i wykrywania ryzyka.
Analiza zachowań użytkowników ma przed sobą świetlaną przyszłość jeśli chodzi o bezpieczeństwo. W tym obszarze jest to dość nowa metoda, ale z czasem bez wątpienia stanie się podstawą dla bezpieczeństwa każdej organizacji. Nie oznacza to, że już teraz nie posiada wielu użytecznych funkcji i korzyści dla każdej firmy, która stawia na bezpieczeństwo. UBA może pomóc w zapobieganiu wielu różnym rodzajom ataków i innym typom złośliwych zachowań i już teraz dobrze działa w połączeniu z innymi systemami bezpieczeństwa.